微软侦测到大规模锁定K8s的挖矿攻击

微软揭露近期针对Kubernetes丛集的新型态挖矿攻击，其恶意容器在2小时内，就感染了数十个Kubernetes丛集，微软提供使用者数项避免被攻击的建议，包括不要在网际网路上暴露Kubernetes仪表板，并且只给与仪表板服务帐号必要的权限等。

云端容器调度工具Kubernetes已经成为标準，被企业大量的使用，而容器化环境的加密货币挖矿攻击也并不少见，通常这些恶意挖矿活动，会在有漏洞的容器中悄悄的运作。而微软提到，他们最近发现的这个挖矿攻击，特别之处在于其规模庞大，恶意容器仅在2个小时内，就被部署到数十个Kubernetes丛集上。

这个容器来自于公开储存库中的映像档kannix/monero-miner，这个映像档执行热门的开源加密货币Monero矿工XMRig。从遥测资料显示，这个容器是以Kubernetes部署控制器kube-control部署，配置文件设定每个丛集会执行10个Pod副本（Replicas）。

此外，这个恶意攻击在部署挖矿容器的同时，也会列举包括Kubernetes秘密资讯等丛集资源，这将会使连接字串、密码和其他秘密资讯暴露，使其能进行横向移动。微软提到，这个攻击有趣的地方在于，其活动身份使用system:serviceaccount:kube-system:kubernetes-dashboard，而这是仪表板的服务帐号，代表恶意容器由Kubernetes仪表板部署，同样的，资源列举也是由仪表板服务帐号启动。

恶意攻击者有三种方式可以使用Kubernetes仪表板，第一种是攻击者扫描暴露在网际网路上的仪表板，并加以利用，第二种则是攻击者有办法存取丛集里其中一个容器，并使用丛集内部网路存取仪表板，而这个行为是Kubernetes预设配置，第三种方法，是攻击者利用云端和丛集凭证合法浏览仪表板。

由于微软Azure安全中心所扫描到受攻击的丛集，其仪表板都暴露在网际网路上，因此微软认为，这次的攻击是使用暴露在网际网路的公开仪表板作为媒介，因此微软建议丛集管理者，不要把Kubernetes仪表板暴露在网际网路上，因为这同时也代表着，向外暴露其管理介面。微软也建议，丛集最好应用RBAC（Role-Based Access Control），使用以角色为基础的存取控制，将能有效限制仪表板服务帐号的权限，使其无法部署新容器。

当丛集使用仪表板，管理者应该仅授与仪表板服务帐户必要的权限，像是当仪表板仅用于监控，就仅给予get权限就好。另外，管理者应仅允许丛集使用受信任的映像档，从受信任的注册表中，部署受信任的容器。